使用burp-suite对投票系统进行攻击

最新推荐文章于 2023-10-23 16:17:39 发布
最新推荐文章于 2023-10-23 16:17:39 发布
阅读量1.5k 收藏 4
点赞数 2
分类专栏: burp-suite 文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74358546/article/details/127844728
版权

本文使用墨者学院的投票系统程序设计缺陷分析靶场

链接:投票系统程序设计缺陷分析_网络安全_在线靶场_墨者学院_专注于网络安全人才培养

启动靶场后界面如下:

 我们需要帮助ggg投票获得第一名

 我们投票一次后,发现今天已经不能继续投票。

打开burp-suite(以下简称bp)首先进行代理配置。

 我使用的是火狐浏览器,其他类型的具体看代理设置教程

bp开启捕获抓包

重新进入页面再次点击投票

会发现X-Forwarded-For:127.0.0.1猜想可能会跟ip地址有关,可能为一个IP地址只能投一次

我们改一下ip然后放包(forward)给网站

发现能投票成功

然后再次点击投票把数据发送给攻击模块

然后将X-Forwarded-For:127.0.0.1中的后两位增加为变量。

把下面id的变量给去除了

如下

 

 点击Payloads设置攻击载荷

将Payload type设置为Numbers

 

1和2都设置为从1到100中间间隔1

Start attack 开始攻击

等待攻击结束

 

 然后本次攻击就已经完成,这是我记录初次使用bp进行攻击,如果还有更好的办法还请麻烦提出

真是小白呀
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[网络安全自学篇] 三十八.hack the box渗透之BurpSuite和Hydra密码爆破及Python加密Post请求(二)
杨秀璋的专栏
01-13 1万+
这是作者的系列网络安全自学教程,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文详细讲解了hack the box在线渗透平台获取邀请码、注册过程。本文将分享Web渗透三道入门题目,它们包括Python编写md5加密发送Post、万能密码和URL路径猜测、BurpSuite和Hydra密码爆破等。基础性文章,希望对您有所帮助!
投票刷票分析
2301_79448933的博客
04-07 579
数据包伪造 利用服务器是通过获取ip方式投票 x-forwarded-for: ip 利用burp爆破,枚举 x-forwarded-for 服务器获取客户端ip方法。而且要知道这个页面是用什么语言写的,得知是PHP后,因为计票一般就是按照IP来区分计数的,所以通过PHP的获取ip代码X-Farwarded-For:ip,然后再使用Start attak,完工。
2021-5-25 网络渗透学习:投票系统程序设计缺陷分析
S1901的博客
05-25 490
投票系统程序设计缺陷分析 背景介绍 年终了,公司组织了各单位"文明窗口"评选网上投票通知。 安全工程师"墨者"负责对投票系统进行安全测试,看是否存在安全漏洞会影响投票的公平性。 实训目标 1、了解浏览器插件的使用; 2、了解开发程序员对IP地址获取方式; 3、了解网络协议软件的使用,如burpsuite等; 解题方向 根据页面提示,进行投票页面测试。 题目要求: 多次投票时,会提示错误: 所以根据实训目标,我们分析到同一IP地址,一天只能投票一次。所以这题解题思路有两个,一是使用代理,更换ip;二是采
墨者学院在线靶场--网络安全
m0_59022585的博客
07-09 177
确定用户名和密码都为admin,进行登录得到提示进制登录,将插件X-Forwarded-For HeaderIP地址设置为127.0.0.1,再次登录得到key。进入超级链接,进行投票(只能投一次),使用插件X-Forwarded-For Header设置一个IP地址并进行投票,同时用Burp Suite.vbs抓包。使用Burp Suite.vbs进行爆破,再发送给服务器进行刷票(当IP不足时,可以更改前几位),再次登录可以得到key。打开Burp Suite.vbs,对超级链接进行抓包。
mozhe靶场——网络安全——投票系统程序设计缺陷分析
qq_52680340的博客
06-02 871
背景介绍年终了,公司组织了各单位"文明窗口"评选网上投票通知。 安全工程师"墨者"负责对投票系统进行安全测试,看是否存在安全漏洞会影响投票的公平性。实训目标1、了解浏览器插件的使用;2、了解开发程序员对IP地址获取方式;3、了解网络协议软件的使用,如burpsuite等;解题方向根据页面提示,进行投票页面测试。打开靶场要求为ggg号选手投票让他获得第一名,但是只有一次机会!!!所以怎么给他投更多的票呢????由提示可以看出,它应该是限制IP,也就是一个IP只能投一次。这就要知道PHP获取IP的一些方式,其中
BurpSuite 爆破的一次坑
weixin_46591320的博客
02-18 1686
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
利用burp精准定位攻击
st3pby的博客
06-18 491
利用burp精准定位攻击
如何用burpsuite进行攻击
白清羽的博客
09-07 5056
一、使用Burpsuite进行攻击: 1、第一步打开burpsuite: 2、第二部点击Repeater: 3、第三步点击粉笔形状的按钮: 4、输入要攻击目标的ip地址与端口号 5、添加攻击报文,进行攻击 6、查看响应结果 完整界面展示如下 注意: 添加攻击报文时: 1、一定不要修改别人的报文,否则会出错! 2、请求头与请求体之间要空两格,否则会...
Burp Suite之intruder的四种攻击模式
qq_56313338的博客
07-23 736
详细介绍了Burp Suite之intruder的四种攻击模式
墨者学院-投票常见漏洞分析溯源
随缘......~|-_-|~
08-13 664
2020-08-11-实验投票常见漏洞分析
墨者学院-投票系统程序设计缺陷分析
JimWu的博客
09-05 1435
投票系统程序设计缺陷分析 难易程度:★★★ 题目类型:网络安全 使用工具:FireFox浏览器、burpsuite 1.打开靶场,进入投票,发现限制ip,每个ip只能投票一次。 2.打开burpsuite,准备暴力破解,再投票一次,截包。 3.截到包,右键send to intruder 4.在下方添加一行X-Forwarded-For:172.16.§0§.§1§ 5.点击payload...
网络安全---渗透测试----业务逻辑漏洞(1-业务逻辑)
weixin_52796034的博客
10-23 547
业务逻辑是指一个实体单元为了向另一个实体单元提供服务,应该具备的规则与流程。业务逻辑是指在实际业务操作中,通过对业务规则和规程的分析和抽象,确定业务处理的规则和步骤。业务逻辑通常由一组规则或者算法来描述业务流程,涉及到数据的处理、存储、分析和展示等方面,它是一个抽象的概念,在软件开发中占据着重要的地位。在面向对象编程中,业务逻辑通常被封装在对象的方法中,以此来实现对数据的操作和处理。在Web应用程序中,业务逻辑通常会包含在Controller层中,用于处理用户请求和响应结果。
[网络安全自学篇] 三十九.hack the box渗透之DirBuster扫描路径及Sqlmap高级注入用法(三)
热门推荐
杨秀璋的专栏
01-15 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文详细讲解了hack the box在线渗透平台注册过程,以及Web渗透三道入门题目,包括Python编写md5加密发送Post、万能密码和URL路径猜测、BurpSuite和Hydra密码爆破等。这篇文章将通过两个题目分享DirBuster扫描目录、Fuzzy爆破指定路径名称,通过Sqlmap工具实现SQL注入并获取管理员用户名和密码、文件下载等用法。希望您喜欢~
Day02 基础入门-数据包扩展
风羽墨客的博客
12-05 1679
Day02 基础入门-数据包扩展 小迪渗透
记一次刷票过程的感想
黑面狐
11-20 2608
我很讨厌投票,别人叫我帮忙投票,我都懒得去投,公司的各种投票我一般都是装作看不到。 但是今天这个不一样,今天是我们的一个社团要投票,前些天社团的领导送给我一台旧的洗衣机,的确帮了我很大的忙,为了表示感谢,我我去研究了一下怎么帮他在评比中刷票。 因为涉及隐私我就不截图了。刚开始投票都是在微信群里发的,我正好电脑挂着微信,用浏览器打开,打开抓包工具,投了一票,抓数据包看了一下。卧槽传了十几个参数,
墨者学院:投票系统程序设计缺陷分析投票系统程序设计缺陷分析
m0_59436465的博客
06-08 275
1.如果发现没有得到结果可以看一下自己命令有没有打错2.一定要注意格式问题不然可能会发生错误3. 可以通过下面的方式排错。
burpsuite使用简介
john_david_的博客
02-14 1478
上次讲解了burpsuite pro v2beta安装激活,现在就来介绍一下burpsuite的简单使用,这里只介绍一些在CTF常用的功能,对于渗透扫描等高级的功能童鞋们就自己看资料学习吧,目的是教会萌新小白简单使用抓包,爆破等功能。演示环境采用靶场,实际环境可能存在一些防护需自己灵活变通。 抓包代理配置 burpsuite代理设置 burpsuite默认设置了代理127.0.0.1:8080如...
Burpsuite使用教程
hmysn的博客
07-28 5266
BurpSuite是一款集成化的渗透测试工具,包含了很多功能,可以帮助我们高效的完成对Web应用的渗透测试和攻击
我是如何绕过派卡网注册IP限制进行刷票的(IP限制绕过技巧)
wilsonke的专栏
08-25 5245
漏洞概要关注数(0) 关注此漏洞 缺陷编号: WooYun-2013-30548 漏洞标题: 我是如何绕过派卡网注册IP限制进行刷票的(IP限制绕过技巧) 相关厂商: 派卡网 漏洞作者: 锁相环 提交时间: 2013-07-18 14:28 公开时间: 2013-09-01 14:29 漏洞类型: 设计缺陷/逻辑错误 危害等级: 中
apt-get install burp-suite 正在读取软件包列表... 完成 正在分析软件包的依赖关系树... 完成 正在读取状态信息... 完成 E: 无法定位软件包 burp-suite
最新发布
07-05
`apt-get install burp-suite` 是在基于Debian或Ubuntu系统的Linux环境中安装Burp Suite(一个流行的安全测试工具集)的一个命令行操作。然而,当你运行这个命令后收到 "无法定位软件包 burp-suite" 错误,这通常...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值